NÁSTROJE PRO ZAJIŠTĚNÍ BEZPEČNÉ ORGANIZACE TOOLS FOR SAFE ORGANISATION ENSURING

Transkript

1 NÁSTROJE PRO ZAJIŠTĚNÍ BEZPEČNÉ ORGANIZACE TOOLS FOR SAFE ORGANISATION ENSURING Dana PROCHÁZKOVÁ Abstract To ensure the safe organisation with a potential do develop sustainable there is necessary: to know and to consider all possible risks inside and outside of organisation, namely in details and contexts; to negotiate with risks correctly; to apply correctly adjusted risk management; and to use qualified tools for risk management profiting the security. With regard to present knowledge there is necessary to consider the organisation as an open system the behaviour and state of which have been affected by processes and phenomena being under way inside and outside of system. Their impacts have been modified by complicated networks of links and flows that are inside of partial systems, across partial systems, across the whole system and in organisation surrounding. The risk management must be, therefore, complex and its priorities must be directed to the organisation security and its sustainable development. Because the sources, forces and means of each organisation are limited and its disposal has been also depending on conditions being in organisation surrounding, the organisation governance must competently handle with them in order that required aims might be reached. Key words Good Governance. Risk Determination. Risk Management. Safety Management. Planning for Security. Safety Management System. 1. Úvod do problematiky V právním státě každá organizace musí kromě cílů, ke kterým byla zřízena, respektovat cíle státu, morální a etická pravidla lidské společnosti v místě, ve kterém působí. Z hlediska základní funkce státu to znamená, že chráněné zájmy státu reprezentují veřejný zájem a jsou předřazené vlastním chráněným zájmům organizace. Správné řízení věcí ve prospěch veřejného zájmu i zájmu organizace má na základě současného poznání formu projektového a procesního řízení organizace, které je upravené provázaným souborem opatření a činností a ve kterém hlavní roli hraje vyjednávání s riziky [1,2]. Správné řízení věcí má tři úrovně (obrázek 1), a to: 1

2 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY Obr. 1 Úrovně správného řízení věcí v organizaci chápané jako systém - cílené řízení bezpečnosti, ve kterém jde o bezpečí a udržitelný rozvoj organizace chápané jako systém, tj. jde o zajištění bezpečí a udržitelného rozvoje chráněných zájmů sledované organizace. Hlavní zacílení řízení je lidské činnosti a lidmi aplikovaná opatření provádět tak, aby změny ve sledované organizaci vyvolané výskytem škodlivých jevů (označených dále slovem pohromy) se zdrojem uvnitř i vně organizace nevedly k nepřijatelnému narušení až zániku organizace, tj. aby lidmi aplikované činnosti a opatření vedly k zabránění výskytu možných pohrom a nebo alespoň ke zmírnění jejich škodlivých dopadů na organizaci, - nouzové řízení, které se používá v případech, ve kterých se vyskytly závažné problémy a je třeba provést činnosti a opatření, aby ztráty, škody a újmy na chráněných zájmech organizace byly přijatelné s tím, že se používají standardní zdroje, síly a prostředky organizace, - krizové řízení, které se používá v případech, ve kterých se v organizaci vyskytly kritické problémy a je třeba provést činnosti a opatření, aby ztráty, škody a újmy na chráněných zájmech organizace uvnitř i vně byly přijatelné s tím, že se používají standardní i nadstandardní zdroje, síly a prostředky organizace i spolupráce s veřejnou správou a dalšími organizacemi, které jsou v místě nebo jsou profesně příbuzné. Hlavní pozornost je věnována životům a zdraví lidí a životnímu prostředí a zajištění přežití organizace. 2

3 Správné řízení věcí v organizaci není možné bez znalosti rizik a jejich efektivního řízení. Z globálního pohledu jsou rizika, kterým musí každá organizace čelit, spojená s: - pohromami, tj. škodlivými jevy, jejichž původ je uvnitř i vně organizace, - dopady pohrom, - zranitelnostmi organizace, jejich chráněných zájmů a jejího okolí, - domino efekty, které se mohou vyskytnout v organizaci nebo jejím okolí, - vnitřními vazbami v organizaci, - lidským faktorem, - chybami při řízení a správě organizace, a to hlavně při opatřeních a činnostech odezvy a obnovy, které jsou obvykle prováděné v časovém presu, - náhodnými kombinacemi možných jevů, které mohou v organizaci vzniknout. Řízení či správa věcí organizace je založena na kvalifikovaném plánování a systémově propojuje všechny životně důležité sektory pro zajištění bezpečí a udržitelného rozvoje organizace [2]. Toto poznání platí jak pro veřejný, tak pro privátní sektor, ve kterém do věcí spojených s bezpečím a udržitelným rozvojem přibývá ještě zajištění zisku, který je zdrojem obživy i dalších investic, a proto do souboru rizik přibývají také specifická rizika jako: riziko ztráty zisku; a riziko ztráty souladu s požadavky veřejné správy v daném území. V současně upřednostňovaném pojetí se předpokládá, že bezpečí má i rozměr budoucí, tj. nestačí zajistit jen současný žádoucí stav systému, kterým je každá organizace, ale i jeho žádoucí stav v budoucnosti blízké a pokud možno i vzdálené, tj. bezpečí zahrnuje v sobě takový rozvoj systému, ve kterém je zaručeno bezpečí i v budoucnosti, tj. jde o udržitelný rozvoj (tj. rozvoj podporující rozvoj člověka i lidské společnosti žádoucím směrem v čase) [2,4-9]. Je si třeba uvědomit, že ve všech úvahách o bezpečí a udržitelném rozvoji je nutno zvažovat i okolí systému, protože každá organizace je otevřený systém. Udržitelnost / udržitelný rozvoj každého systému je z odborného hlediska koncept, který je ukotven v čase a vztahuje se k systému jako celku. Podle práce [9] platí, že pro podporu bezpečné organizace je třeba udržitelný rozpočet organizace. Tento způsob hledání rovnováhy odráží fakt, že současný ekonomický růst nemá zabudovány mechanizmy pro dlouhodobé přežití (speciálně nemá dostatečnou houževnatost - resilience). Ze systémového hlediska organizace vytvářená jako udržitelný systém musí mít atributy produktivity, resilience, (houževnatosti = stabilita a spolehlivost), adaptability a zranitelnosti. To znamená, že tři základní atributy jsou odlišné, ale i vzájemně provázané, souvislosti ukazuje obrázek 2, na kterém jsou ještě vyznačené faktory, které identifikují atributy a jejich souvislosti. Protože sledované vlastnosti jsou vzájemně spjaty, tak ve vztahu k existenci systému je na vrcholu udržitelnost. Rozhodování o adaptivní kapacitě systému je pak dáno vztahem, který je uveden v rozhodovací matici v tabulce 1. 3

4 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY UDRŽITELNOST Prahové hodnoty Indikátory zátěže Prahové hodnoty Indikátory stavu ZRANITELNOST Hodnocení ohrožení a dopadů RESILIENCE Typ systému Aktuální podmínky Obr. 2 Vztah mezi udržitelností, zranitelností a houževnatostí (resilience) Cílem řízení udržitelnosti organizace prostřednictvím řízení rizik nebo vyššího typu řízení, tj. prostřednictvím řízení bezpečnosti, je zabránit, aby se systém nedostal do nežádoucích, tj. nepřijatelných stavů a uspořádání [10]. Řízení udržitelnosti musí vycházet z řízení resilience [11], které má dva cíle: 1. Zabránit, aby se systém dostával do nežádoucích stavů v důsledků vnějších poruch a vnější zátěže. 2. Uchovat prvky aktivující systémovou reorganizaci a obnovu v důsledku masivních změn. Tabulka 1 Adaptivní kapacita systému Dopady Adaptivní kapacita Nízká Vysoká Vysoké Zranitelnost Příležitosti rozvoje Nízké Zbytková rizika Udržitelnost Z hlediska řízení rizik [2] je nutné také věnovat péči snižování zranitelnosti systému a posilování adaptability systému, protože udržitelnost je neustálé přizpůsobování systému měnícím se podmínkám [10]. Proto je žádoucí používat a rozpracovat metodiku předvídavosti nejen na technologické, ale i na společenské úrovni (societal foresight), která se zaměřuje na trendy chování lidmi vytvořeného prostředí (např. teorie normálnosti havárie, vysoce spolehlivé organizace, industriální ekologie) a životního prostředí (např. teorie adaptivního environmentálního managementu, industriální ekologie apod.). Z výše uvedeného vyplývá, že cílem různých analýz by nemělo být jen výčtové stanovení kritických prvků, kritických jevů apod., ale cílem by mělo být monitorování udržitelné existence (sustainable livelihoods), protože v ní se kumulují všechny vlivy udržitelné organizace a jejího okolí. V práci [12] se uvádí, 4

5 že metody vhodné pro analýzu udržitelnosti existence (bytí) musí specifikovat parametry pro různou systémovou udržitelnost, tj. pro udržitelný: - ekonomický a technologický systém, tj. pro rozmanitost odvětví, kvalifikovanou pracovní sílu, inovace, robustní infrastruktury, účelný pohyb zboží a služeb, dostupnost technologií, eko-účinnost, - sociální systém, tj. pro soudržnost komunity, sociální kapitál, ochranu, bezpečnost a bezpečné prostředí, vztah k místu, udržování kulturního dědictví, mobilitu, rovnost příležitostí, zelenou infrastrukturu a rekreační možnosti, - environmentální systém, tj. pro zdravou a kvalitní půdu, biorozmanitost, funkční zelenou infrastrukturu, biokoridory a propojené biolokality, environmentální toky, kvalitu vody a ovzduší, charakter krajiny. Zajištění udržitelnosti těchto systémů vyžaduje kvalitní správu, tj. transparentnost a odpovědnost v rozhodování, kompetentnost, schopnost předjímat budoucí situace. 2. Soubor poznatků pro řízení rizik Bezpečí a udržitelný rozvoj organizace závisí na tom, jak se vypořádáváme s riziky, tj. v prvé řadě na tom, zda rizika v organizaci existující v době současné i předvídatelná rizika v době budoucí správně vyhledáme, pochopíme a vyhodnotíme a zda s nimi optimálně naložíme. Vyjednávání s riziky spočívá v tom, že správně musíme ocenit velikost možných pohrom všeho druhu, které jsou zdrojem rizik pro organizaci. Pohromy mají zdroje jak uvnitř, tak vně organizace. V řízení zaměřeném na rizika odlišujeme dva základní pojmy, a to ohrožení a riziko. Ohrožení, anglicky hazard, je velikost konkrétní pohromy určená podle stanovených pravidel, která působí na danou organizaci. Riziko, anglicky risk, je pravděpodobná velikost nežádoucích dopadů (ztrát, škod a újmy) způsobených pohromou o velikosti ohrožení na chráněné zájmy v dané organizaci určená podle stanovených pravidel. Závisí jednak na velikosti ohrožení pro danou organizaci a jednak na zranitelnosti organizace vůči konkrétní pohromě, a to územní (náchylnost ke ztekucení, propadnutí, sesuvu), technické (náchylnost ke vzniku domino efektu), určené počtem lidí a jejich rysy [13] nebo finanční (nedostatek použitelných finančních prostředků), znalostní (nedostatek kvalifikovaného personálu) atd. Rizika stále přibývají a lidská společnost nemá zdroje, síly a prostředky, aby tomu zabránila, tak musí cíleně řídit rizika. Aby řízení bylo úspěšné, tak se musí zaměřit na prioritní rizika a jejich aspekty. Prioritní rizika jsou taková rizika, při jejichž realizaci průměrné škody, ztráty a újmy na chráněných zájmech vztažené na zvolenou časovou jednotku (např. 1 rok) jsou větší než zvolená hranice přijatelnosti. 5

6 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY Vyjednávání s riziky [14] vychází ze současných možností lidské společnosti a spočívá v rozdělení vypořádání rizik do kategorií, ve kterých se příslušná část rizika zajistí tak, že se: - sníží, tj. preventivními opatřeními se odvrátí realizace rizika, - zmírní, tj. účelovými preventivními opatřeními odezvy a připraveností (varovné systémy a jiná opatření nouzového a krizového řízení) se sníží nebo odvrátí nepřijatelné dopady při realizaci rizika, - pojistí, - připraví rezervy na odezvu a obnovu a zálohy pro zajištění přežití lidí a kontinuitu provozu organizace, - připraví plán pro odezvu na nepředvídané situace (contingency plan) v případě rizik neřiditelných nebo příliš nákladných na eliminaci a nebo málo častých. K tomu se rovněž připojuje rozdělení zvládání rizik mezi všechny zúčastněné. Rozdělení ve správném řízení se provádí tak, že se vychází z toho, že za zvládání rizik odpovídají všichni zúčastnění a že zvládání konkrétního rizika je nejlépe přidělit tomu subjektu, který je na to nejlépe připraven [1]. Toto je však možné jen v organizaci, ve které je kvalifikované projektové a procesní řízení, tj. činnosti a opatření se aplikují na základě znalostí, a to věcných i z oblasti řízení (tj. činnosti jsou vzájemně provázané, nejsou chyby v komunikaci, každý zúčastněný ví, co má dělat a jak to má dělat). 3. Stanovení rizika Analýza a hodnocení rizik v organizaci se provádí tak, že se systematickým postupem zjistí dopady pohrom, které se mohou vyskytnout v organizaci nebo v jejím okolí a ovlivnit organizaci nežádoucím způsobem (tj. v úvahu se berou jen relevantní pohromy a z důvodu omezenosti zdrojů všeho druhu především pohromy, které pro organizaci patří mezi specifické a kritické pohromy [7]. Pro každou pohromu se vytvoří procesní model, který znázorňuje její působení na prvky, vazby a toky organizace, která je chápaná jako systém, tj. zvažují se nejen přímé dopady pohromy na chráněné zájmy organizace, ale i dopady pohromy zprostředkované složitou sítí vazeb a toků v organizaci a jejím okolí s tím, že zvláštní pozornost je věnována chráněným zájmům. Poté se pro stanovenou velikost pohromy vypočtou škody, ztráty a ujmy na chráněných zájmech a stanoví se riziko způsobem, který je správný, transparentní a opakovatelný. Z metodického hlediska známe riziko integrální, integrované a dílčí: - dílčí riziko je riziko vztažené k jednomu chráněnému zájmu. Postupy pro jeho stanovení jsou dané směrnicemi, právními předpisy, normami, standardy a tzv. dobrou praxí, - integrální a integrované riziko uvažuje soubor chráněných zájmů. Integrální riziko se zjišťuje se systémovým přístupem, postupy jsou dané směrnicemi, právními předpisy, normami, standardy. Integrované riziko je součet 6

7 (aritmetický, vážený aj.) dílčích rizik pro všechny zvažované chráněné zájmy. Postupy pro jeho stanovení jsou dané směrnicemi, právními předpisy, normami, standardy. Integrované riziko často používají pojišťovny. Z výše uvedených skutečností vyplývá, že pro stanovení rizik organizace je důležité: - jaké jsou chráněné zájmy organizace (zde si je třeba opět uvědomit, že do nich patří jak chráněné zájmy státu, které jsou vynucovány právními předpisy či etickými a morálními pravidly v prostředí, ve kterém se organizace nachází, tak vlastní chráněné zájmy organizace, které jsou nutné pro existenci a rozvoj organizace), - které jevy vnější i vnitřní působí v dané organizaci dopady na chráněné zájmy, které nejsou přijatelné (tj. představují pohromy), - jak probíhají procesy, jejichž výsledkem je realizace rizika, - vůči jaké velikosti pohromy (k jejímu označení se používá pojem projektová pohroma) je organizace odolná, tj. pohroma působí v organizaci jen dopady, které jsou přijatelné nebo podmíněně přijatelné, tj. organizace je ve všech směrech připravená uvedené dopady zvládnout, - jak často se vyskytuje nadprojektová pohroma a co v organizaci působí a zda má organizace nějaká opatření vůči nadprojektovým pohromám, např. plán kontinuity [2], - které dopady pohrom jsou nepřijatelné a mohou vést k rozkladu až zániku organizace. Pro vybrané modely procesů existují konkrétní metody pro stanovení rizik, z nichž některé mají i softwarovou podporu [3]. Je si však třeba uvědomit, že i modely stejných procesů jsou zaměřené na určité cíle a jsou buď jednoduché, nebo složitější. Proto při výběru z existujících metod je třeba respektovat požadavky transferu technologií a ověřit, zda metoda je pro daný případ a cíl použitelná, či ne [2]. Obecně povaha metod je kvantitativní, kvalitativní i semikvantitativní. Podle cíle je nutno odlišovat metody, které jsou vhodné pro: 1. Identifikaci rizika. 2. Stanovení hodnoty rizika, ve kterém jde o přesný údaj pro potřeby strategického rozhodování. 3. Stanovení hodnoty rizika pro potřeby kontroly rizika konkrétního procesu v čase a prostoru, při kterém lze použít míru (a to i verbální) a o taktické a operativní rozhodování. Aby řízení / správa organizace mohla pracovat účinně s riziky, je třeba stanovit postup pro stanovení rizik právním předpisem a zároveň je třeba stanovit hodnotové stupnice, dle kterých se interpretují výstupy z nástrojů na stanovení rizik v organizaci, tj. je třeba určit, co je přijatelné, co je podmíněně přijatelné a co je nepřijatelné. Mezi nástroji pro stanovení rizik je třeba odlišit sofistikované nástroje pro odbornou sféru a nástroje pro řízení / správu organizace, pro kterou jsou nejvhodnější kontrolní seznamy [2]. Riziko pro správné strategické rozhodování a strategické řízení se stanovuje jedním z dále uvedených přístupů [14]: 7

8 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY 1. Určení ohrožení organizace od konkrétní pohromy H a periody návratu τ (v rocích). Z nich se na základě možných dopadů určí S = celková škoda pro ohrožení H v dané organizaci (nejlépe v penězích). Riziko R vztažené ke zvolené časové jednotce se spočte dle vztahu S R = τ 2. Určení scénáře pohromy o velikosti největší očekávané pohromy a podle něho: a) podle chráněných zájmů organizace a jejich zranitelnosti vůči dopadům ve scénáři pohromy se určí hodnota S = celková škoda v dané organizaci (nejlépe v penězích), b) podle odborných údajů určujících maximální možnou velikost pohromy nebo expertních odhadů na základě databází se určí četnost výskytu největší očekávané pohromy normovaná na 1 rok f. Tento postup je obvyklý u rizik spojených s množstvím nebezpečných látek v průmyslových objektech. Riziko R vztažené ke zvolené časové jednotce se spočte dle vztahu R = S * f. Po stanovení velikosti rizika následuje hodnocení přijatelnosti rizika, což je strukturovaná procedura, která se pokouší odpovědět na dále uvedené otázky: - jaké ztráty, škody a újmy budou na chráněných zájmech organizace? - jak často se ztráty, škody a ujmy stanou? - jak zareagují bezpečnostní systémy v organizaci a jejím okolí? - jaké ztráty, škody a újmy budou na chráněných zájmech organizace, když selžou bezpečnostní systémy v organizaci nebo v okolí organizace? Po vyhodnocení odpovědí na výše uvedené otázky se určí způsob vyjednávání s jednotlivými zjištěnými riziky [2]. Obvykle se rozhoduje na základě rozhodovací matice [2,7]. Příklad podkladu pro rozhodování je na obrázku 3. 8

9 Čas Qτ l1 nepřijatelné podmíněně přijatelné Q100 l2 P1 P2 P3 přijatelné L1 L2 Dopady Obr. 3 Perioda výskytu pohromy vs. velikost dopadů pohromy Q100 = 100 let, Qτ = střední perioda opakování pohromy o normativní velikosti, L1 = výše pojištění, L2 = desetina ročního rozpočtu organizace. 4. Modely řízení rizika Každodenní fakta i analýzy chování lidského systému ukazují, že rizika jsou existující realitou a že v čase se objevují stále nová rizika. Proto je třeba žít podle koncepce život s riziky. Tato koncepce upravuje postup správy organizace následovně: - definice chráněných zájmů organizace (včetně těch, které musí organizace ctít dle pravidel daných veřejnou správou), - stanovení cílů na úseku bezpečí a rozvoje chráněných zájmů, - zajištění cílů pomocí opatření a činností prevence, připravenosti, odezvy a obnovy. Dle klasického modelu řízení rizika [2,7] (obrázky 4 a 5) se řízení rizika v organizaci provádí tak, že se zvažují rizika od jednotlivých pohrom odděleně a pozornost se věnuje jen rizikům, jejichž pravděpodobnost výskytu je větší než určitá hodnota (obvykle 0.05). Každá pohroma se řídí odděleně a systémově se nekontroluje, zda opatření provedená ke snížení rizika od jedné pohromy nevedou ke zvýšení rizika od jiné možné pohromy, která postihne organizaci. Obrázek 4 ukazuje pořadí operací, které musí být provedeny k tomu, aby rizika byla správně řízená. Obrázek 5 pak ukazuje základní kroky pro dílčí operace, které 9

10 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY musí být provedeny k tomu, aby rizika byla správně řízená. Oproti tradičním postupům v technických normách jsou na obrázku 4 vyznačeny i otázky komunikace o riziku a jeho přijatelnosti, a to dle postupů přijatých EU a zapracovaných v české legislativě do zákonů o EIA. Obr. 4 Model klasického řízení rizika [2,7] Řízení bezpečnosti, tj. řízení rizik ve prospěch bezpečí v organizaci [2,7], obrázek 6, se provádí tak, že se zvažují všechna rizika od všech možných pohrom v dané organizaci DOHROMADY a dle stanovené úrovně bezpečnosti se vybírá soubor optimálních opatření pro vyjednávání se všemi specifickými a kritickými pohromami (dle [3] relevantní pohroma je taková pohroma, která působí na organizaci, ale její dopady jsou přijatelné; specifická pohroma je pohroma, která má na organizaci nepřijatelné dopady; kritická pohroma je taková pohroma, která má kritické dopady, které mohou vést k rozložení až zániku organizace). Pozornost se věnuje i rizikům, která jsou málo pravděpodobná, ale dopady s nimi spojené vyvolají nebo mohou vyvolat velké ztráty, škody a újmy na chráněných zájmech, tj. uplatňuje se PRINCIP PŘEDBĚŽNÉ OPATRNOSTI. Obrázek 6 ukazuje, že rozhodujícím faktorem, který hraje roli v řízení bezpečnosti nejsou jednotlivá integrální rizika pohrom, ale zbytkové integrální riziko určené pro všechny relevantní pohromy v konkrétní entitě (místě / organizaci). Obrázek též ukazuje umístění monitoringu v procesu řízení bezpečnosti. 10

11 Obr. 5 Specifikace základních kroků klasického řízení rizika [2,7] 11

12 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY Přechod od klasického řízení rizik na řízení rizik znamenající vypořádání rizik ve prospěch bezpečí a udržitelného rozvoje (anglicky Risk Governance) [2,7] v praxi znamená: - stanovit synergické vztahy mezi riziky, zranitelností a bezpečím, - modelovat proces rozhodování správy organizace s ohledem na rizika, nejistoty a neurčitosti (viz podpůrné systémy rozhodování), - specifikovat rámcové právní podmínky a ochranná opatření, - zlepšovat činnosti institucí (institucionální změny). Problematika řízení rizik je zásadní a vyžaduje odborný postup [1-3,7,13,14]. Obr. 6 Model řízení rizika ve prospěch bezpečí a udržitelného rozvoje [2,7] Pro klasické řízení rizik i pro řízení rizik ve prospěch bezpečí, tj. řízení bezpečnosti [2], je nutné: 1. Rozumět procesu vzniku pohrom a podmínkám, ve kterých proces probíhá. 2. Znát, ve kterých místech pohroma může vzniknout a jaké může mít fyzikální a jiné charakteristiky. 3. Identifikovat ohrožení, které představuje v daném místě pohroma dle stanovených standardů. 4. Stanovit dopady projektových pohrom (tj. normativních ohrožení) na chráněné zájmy. 5. Eliminovat nepřijatelné dopady pohrom v případech, ve kterých to jde za přijatelných nákladů. 12

13 6. U zbylých dopadů vypočítat pomocí prognostických modelů pravděpodobnost jejich realizace s tím, že se vezmou v úvahu i možná selhání preventivních opatření. 7. Vypočítat možné škody na chráněné zájmy v konkrétní organizaci a jejím okolí podle chráněných zájmů, které jsou skutečně v organizaci a jejím okolí a na základě pravděpodobností určit výši rizika. 8. Identifikovat a realizovat zmírňující opatření s ohledem na lidi, majetek a životní prostředí tak, aby byla ALARP (tak malá, jak je rozumně možné dosáhnout). 9. Prokázat, že byla provedena všechna opatření k zabránění a zmírnění dopadů pohrom. Přijatelné riziko lze dosáhnout snížením ohrožení od konkrétních pohrom, což však jde jen u pohrom, které souvisí s činností člověka, a dělá se to snížením zranitelnosti organizace, která je předmětem hodnocení rizika [2]. Mechanismus zvládání rizik v organizaci je znázorněn na obrázku 7. Uvedený obrázek ukazuje, že provozní předpisy i legislativní předpisy z pohledu zajištění bezpečnosti subjektu vůči předmětné pohromě mají po odborné stránce jednotnou strukturu, tj. provázané soubory opatření pro zajištění bezpečí a rozvoje, opatření při nouzové situaci a opatření při kritických situacích. Ukazuje také, ve kterých místech stát posiluje úsilí o zajištění bezpečnosti a zajišťuje připojení specializovaných výkonných složek, které pomáhají stabilizovat situaci a ochraňovat chráněné zájmy s cílem, aby ztráty, škody a ujmy byly přijatelné. 5. Aspekty důležité pro řízení rizika uvnitř organizace Organizace je z odborného pohledu systém systémů. Problémy z hlediska současného poznání jsou: 1. Popis a charakteristika systému, který má více chráněných zájmů chápaných systémově, a mezi nimi existují různé vnitřní vazby a toky. 2. Odolnost, zranitelnost a adaptabilita jednotlivých systémů i systému systémů. Kdy (při jaké kombinaci vlastností) je systém udržitelný? 3. Určení integrálního rizika (v systému je více chráněných zájmů, které jsou propojené vnitřními vazbami) pro zdroje rizik uvnitř i vně systému. 4. Vztahy mezi dílčím, integrovaným a integrálním rizikem systému. 5. Vztahy mezi integrálním rizikem systému a integrálními riziky podsystémů. 6. Kritéria pro integrální bezpečnost systému systémů (soubor bezpečných systémů nemusí být bezpečný existují interdependences). 7. Zásady pro řízení bezpečnosti systému systémů (nutné např. pro kritickou infrastrukturu). 8. Legislativa pro podporu řízení bezpečnosti systému systémů. 9. Kontrolní mechanismy pro monitorování (úrovně) bezpečnosti systému systémů. 13

14 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY Řízení rizik v organizaci Provozní předpisy pro bezpečný chod organizace Provozní předpisy pro zvládnutí nouzové situace v organizaci Provozní předpisy pro zvládnutí kritické situace v organizaci (zahrnují zajištění kontinuity i pomoc a spolupráci s veřejnou správou Obr. 7 Nástroje pro zvládání rizik v organizaci 6. Plánování pro podporu řízení rizika v organizaci S ohledem na současné poznání je třeba sledovat v organizaci vnitřní závislosti, které zprostředkovávají sekundární a další dopady pohrom na chráněné zájmy organizace. K tomuto cíli je třeba: - zavést do praxe monitoring bezpečnosti, - dopracovat a kodifikovat metodiky pro sběr dat, odborné zpracování veličin nutných pro rizikovou analýzu v systému systémů, - vypracovat metodiky pro rozhodování o rizicích a provázané systémy kontrolních seznamů na podporu rozhodování, - pro zaměstnance vypracovat soubory opatření o tom, co mají dělat před, při a po pohromě, která v organizaci patří mezi specifické či dokonce kritické pohromy, - pro potřeby strategického řízení organizace zpracovat plány pro zajišťování bezpečí a rozvoje organizace, nouzové plány, plány kontinuity a krizové plány organizace, které budou navzájem provázané a ve kterých jsou podchyceny úkoly řízení bezpečnosti a rozvoje za všech okolností, - zajistit podpůrné systémy pro podporu řízení bezpečnosti, protože kvalifikovaná řešení vždy ušetří peníze, síly i prostředky. Dosavadní poznání totiž ukazuje, že zjednodušená řešení jsou možná jen někdy, ale i v případech, ve kterých jsou možná, je třeba znát, jaká zjednodušení situace byla provedena, proč je bylo možno použít a zda není třeba po nějaké době provést opatření další. Nástroje bezpečnostní politiky, kterou se řízení bezpečnosti uvádí do praxe, jsou: - koncepce, které vytyčují cíle bezpečnostní politiky, 14

15 - strategie, které určují základní způsoby, kterými bude cílů dosaženo, - plány, které podrobně popisují a zahrnují činnosti v určitém časovém harmonogramu, - nástroje a instituce, tj. zdroje, síly a prostředky, kterými se dosahuje splnění cílů bezpečnostní politiky. Plánování je vědomé usměrňování rozvoje ke zvolenému cíli. Je to uvědomělá činnost řídících subjektů, která spočívá ve volbě a předpokládání cílů, úkolů, variant a způsobů, které podmiňují dosažení těchto cílů. Za nejdůležitější rys plánování se považuje volba cíle. Plánování není sestavení hierarchického souboru příkazů, které se mají bezmyšlenkovitě plnit, je to tvůrčí činnost, která má stanovit reálný cíl a určit nejvýhodnější způsob jeho dosažení. V praxi se setkáváme s mnoha druhy plánování, např. roční, oblastní, perspektivní, územní, vstřícné aj. Plánování tvoří základní úsek každého řízení. Proto musí specifikovat nejen cíle, ale i možné varianty dosažení žádoucích cílů řízení, provést jejich vyhodnocení a výběr optimální varianty s ohledem na disponibilní síly, prostředky a zdroje. Poté je třeba provádět monitorování úspěšnosti vybrané varianty s ohledem na žádoucí cíl a systematicky odstraňovat nesoulady a překážky na cestě k realizaci vybraného cíle a přitom zabránit deformacím a ztrátě iniciativy účastníků procesu. K dosažení dlouhodobých cílů se používá strategické plánování a pro dosažení krátkodobých cílů plánování operativní; obě mají svá specifika, které předurčují výběr metod a způsobů. Pro podporu správného řízení organizace je také nutné analyzovat každou nouzovou situaci a přijmout poučení, tj. podklady pro zlepšení prevence, zajištění zmírnění dopadů příští situace na chráněné zájmy, pro zlepšení odezvy atd. Z výsledků prezentovaných na konferenci TIEMS (Praha, červen 2008) [15] vyplynulo: a) Při každé větší nouzové situaci je třeba v rámci poučení: - určovat slabé a silné stránky organizace a jejího systému řízení, - získat poznatky pro zvýšení odolnosti organizace s tím, že bude zvyšována adaptabilita, - získat poznatky pro to, abychom robustní systémy odezvy zaměřovali správně. b) Pro podporu řízení nouzových situací nestačí jen jednooboroví specialisté, ale je třeba mít specialisty, kteří znají více oborové a mnohaoborové disciplíny a systém řízení organizace v daném případě. Každá organizace si musí tento odborný potenciál vybudovat k tomu, aby byla schopna zvládat rozsáhlé nouzové a kritické situace. c) Tým pro řízení nouzových situací se musí skládat z vysoce zkušených lidí, musí mít určitou nezávislost při rozhodování a musí mít vlastní zdroje pro činnosti odezvy. Jeho úkolem je zajistit urgentní a bezprostřední odezvu, řešit neočekávané problémy, orientovat se na důsledky, zajistit kvalifikovanou odezvu za přijatelných zdrojů, sil a prostředků. d) Je nutné zvyšovat neustále bezpečnost organizace i procesů, jichž se účastní zaměstnanci. 15

16 THE SCIENCE FOR POPULATION PROTECTION 1/2009 PŘÍSPĚVKY e) Odezva na hurikán Katrina v USA ukázala jeden důležitý fakt - za hranicemi kompetencí se v kritické situaci nedá téměř nic pořádného udělat. Proto je důležité pro zvládnutí všech situací mít předem připravené rozdělení kompetencí pro všechny možné situace, tj. i pro ty téměř nemožné. f) Zkušenosti získané studiem odezev na nouzové situace velkého rozsahu ukázaly, že práce, které se dělají v rámci odezvy na kritickou situaci musí být: - jasné, - snadno proveditelné, - rychlé, aby podpořily účinnost akcí, - vést k výsledku. Základní druhy plánování, které podporují základní úrovně řízení jsou bezpečnostní plánování, nouzové plánování a krizové plánování. V české praxi není ani bezpečnostní plánování, ani nouzové plánování sjednoceno pod agregovaný název a v jednotlivých oblastech a sektorech se používají dílčí názvy. Pro plánování chápané jako činnost, kterou se vytváří podklady pro rozhodování v budoucích situacích je důležitý popis situace a představa o možných změnách (zjišťování míry nebezpečí pro určité časové období a určitou lokalitu). Proto se skládá ze dvou činností: - předvídání možných situací a změn, - jejich monitorování a programování reakcí na změny. Provedené teoretické analýzy i rozbory praktických postupů [15] ukázaly na nutnost při plánování obecně dodržovat určité zásady jako: 1. Plánovat s nadhledem, tj. neplánovat pro případy konkrétních pohrom, protože při výskytu konkrétních jevů jsou různé podmínky a dochází ke kumulaci různých faktorů, které zesilují nebo zeslabují působení pohromy a mění situaci v organizaci. 2. Nouzové situace vyvolané pohromami jsou jen v prvním okamžiku determinovány příčinou, tj. dopady konkrétní pohromy, která je vyvolala. Poté jsou determinovány dobou, po kterou trvají a rozsahem zasažené organizace. 3. V případě, že dojde k významnému zdržení v nastartování vhodné odezvy na pohromu, dochází ke kritické situaci, která může mít až katastrofické dopady, protože v důsledku domino efektů vznikají další a další řetězce nežádoucích jevů. 4. Plány rychle zastarávají, a proto jsou nezbytné pravidelné aktualizace a testování. 5. Bezpečnost, odolnost či zranitelnost každého systému je vždy daná nejslabším prvkem, vazbou či tokem organizace. Plánování bezpečné organizace proto vyžaduje bezpodmínečně interdisciplinární přístup vycházející a navazující na koncept lidské bezpečnosti (společnost je posedlá strachem z narušení bezpečnosti, protože současná společnost je složitá a velmi zranitelná) a udržitelného rozvoje (ekologická odpovědnost má vztah k environmentální bezpečnosti, ekonomická účinnost souvisí s ekonomickou a technologickou bezpečností, sociální solidarita je odrazem sociální a zdravotní bezpečnosti atd.). 16